Hace un año, en Europa, todo el mundo estaba pendiente de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Sin embargo, de forma paralela, en marzo de 2018 el senado de los Estados Unidos aprobó una nueva normativa para regular el almacenamiento de datos en la nube, la llamada Ley Cloud Act. Esta nueva normativa regula el manejo de los datos de las empresas que estás físicamente ubicadas fuera de los EEUU, pero de la que es responsable una empresa de EEUU. Según la Ley Cloud Act, estos datos serán tratados como si estuvieran almacenados en servidores de los EEUU.

Aunque lleve el nombre CLOUD, la ley no trata sobre infraestructura de nube, es el acrónimo de Clarifying Lawful Overseas Use of Data, aclarando el uso legal de datos en el extranjero, sino más bien sobre la protección de datos en ella almacenados.

La tecnología se desarrolla y sigue evolucionando, tanto en lo positivo como en lo negativo. Los ciberataques también se adaptan y se sofistican con el tiempo; los ciberdelincuentes ponen a punto nuevas herramientas y técnicas maliciosas mientras los proveedores de ciberseguridad diseñan nuevas formas de detectar y bloquear esas amenazas. Dicho esto, en el clima actual hay ciertas estrategias que se deberían tener en cuenta, enfocadas a reducir la exposición y mejorar las defensas. Elegir una buena plataforma, ser prudente y aprender de la experiencia son una ayuda para mantenerse al margen de la mayoría de las amenazas, así como para detectar y responder más rápidamente a los ataques.

La Deep Web hace referencia al contenido no indexado en la llamada Web superficial, que es la que habitualmente utilizan los usuarios de la red. Suele ser más conocida por su temática cibercriminal y para los negocios ilícitos, no obstante, se alojan en ella multitud de datos que sin tener nada que ver con delitos requieren una cierta protección y privacidad. El volumen de información que circula es inmenso y se estima que es miles de veces la parte visible de Internet. Cuando se ingresa a un buscador y se realiza una consulta, el buscador no recorre la totalidad de internet en busca de las posibles respuestas, sino que busca en su propia base de datos, que ha sido generada e indexada previamente. Se utiliza el término «araña web» o robots inteligentes que van haciendo búsquedas por enlaces de hipertexto de página en página, registrando la información ahí disponible.

El phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima., para estafar y obtener información confidencial.

El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.

Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

A mediados de enero nos despertamos con una noticia impactante: se acababa de descubrir uno de los incidentes de ciberseguridad más importantes de la historia. El llamado # Collection1 expuso más de 73 millones de correos electrónicos y 20 millones de contraseñas en una página web de hackers. En un contexto donde este tipo de sucesos son cada vez más frecuentes y de mayor alcance, conviene poner de relieve los principales riesgos jurídicos que las organizaciones deben afrontar.

Es un hecho que pymes y los autónomos están integrándose, a veces a la fuerza, en una sociedad que cada vez usa más intensamente las nuevas tecnologías. Los clientes se mueven por la red desde todo tipo de dispositivos y aplicaciones. Son también activos: nos informan sobre sus gustos e intereses, compran y venden en internet, y utilizan las redes para transmitir sus opiniones y quejas.

La prueba electrónica o digital es toda información con valor probatorio contenida en un medio electrónico o transmitida por dicho medio. El papel y otros elementos tangibles no son las únicas pruebas admitidas en los tribunales. Por ejemplo, la prueba electrónica es un ejemplo de este cambio. La nueva era digital ha cambiado sustancialmente nuestra manera de comunicarnos. Esto ha afectado en el formato de la información probatoria que se presenta durante un proceso civil, penal, laboral o administrativo.

Como la precisión de una prueba, incluida la digital, es responsable del demandante siempre que impugne la evidencia digital, al menos se le puede solicitar a la otra parte que garantice fecha cierta e integridad. Por supuesto, estos no son los únicos aspectos clave de una prueba digital, pero nos centraremos en esta publicación.

Es indudable que Internet proporciona muchísimas ventajas y oportunidades, sin embargo, no es oro todo lo que reluce, y es que en ocasiones nos podemos encontrar con situaciones no esperadas, en las que por ejemplo, podemos acabar siendo víctimas de algún fraude online. El “supuesto” anonimato que proporciona Internet y la capacidad de realizar una acción desde cualquier lugar del mundo, facilita que en ciertas situaciones, se convierta en lugar perfecto para poner en circulación fraudes. La mejor línea de defensa ante este tipo de situaciones, es conocer la forma de actuar de los ciberdelincuentes para ponerles freno y evitar así caer en sus redes. El fraude en Internet se basa en la utilización maliciosa de tres elementos sobre los que se construye el engaño. La presencia de estos elementos varía según el tipo de fraude y son utilizados de manera complementaria. Por este motivo, a continuación listaremos los fraudes más comunes.

La seguridad en dispositivos móviles se ha convertido en un asunto muy importante debido al incremento de "ataques" recibidos y a las consecuencias que estos tienen. Los ataques vienen incentivados por la popularización de los dispositivos móviles, el aumento de información personal y confidencial que almacenan y las operaciones realizadas a través de ellos, como por ejemplo las bancarias.

Los dispositivos móviles están formados por un conjunto de componentes capaces de soportar una gran variedad de tecnologías inalámbricas (GSM, UMTS, Wifi, Bluetooth, etc.), donde destaca uno o varios procesadores de altas prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran número de aplicaciones que requieren una gran capacidad de cálculo. Todo ello incrementa significativamente las distintas vulnerabilidades a las que están expuestos este tipo de dispositivos.

En respuesta a las crecientes problemáticas, la gestión de riesgos de TI ha sufrido muchos cambios durante los últimos años. Sin embargo, más recientemente, la habilidad para definir y comunicar el marco de los riesgos de TI ha tomado mucha más relevancia. La disciplina de gestión de riesgos de TI se enmarca no solo dentro de los requerimientos regulatorios, sino también dentro de los de negocio. Un profesional de la gestión del riesgo TI debe ser especialista en tecnología y sistemas de gestión de seguridad de la información, y también tener un amplio conocimiento del negocio de la empresa en la que desarrolla su actividad.

Auditoría interna y gestión de riesgos en ISO 31000 son dos conceptos que van de la mano. La auditoría interna debe evaluar y contribuir a la gestión de riesgos, aportando así a la mejora de los procesos de control, utilizando un enfoque sistemático y disciplinado.

En todos los aspectos de nuestra actividad diaria necesitamos seguridad en las diversas actividades que acometemos, en un traslado o viaje en coche, bus, tren, avión, en nuestro hogar al usar la electricidad, gas, agua, al cortar alimentos para cocinar, al cruzar la vía pública, en el uso de nuestra bicicleta, patinete o skate. En resumen, practicamos la seguridad habitualmente.

La seguridad en internet son todas aquellas precauciones que se toman para proteger todos los elementos que hacen parte de la red como infraestructura e información, la más afectada por delincuentes cibernéticos. En The Valley Digital Business School han desarrollado 10 puntos clave para garantizar la ciberseguridad en red que desde el Gabinete de Peritos Judiciales queremos transmitir.